一、限定某个目录禁止解析php
某个目录下禁止解析 php,这个很有用,我们做网站安全的时候,这个用的很多,
比如某些目录可以上传文件, 为了避免上传的文件有木马, 所以我们禁止这个目录下面的访问解析 php.
1. 测试目标:禁止PHP解析111.com下upload目录内的文件
编辑虚拟主机配置文件
vim /usr/local/httpd2.4/conf/extra/httpd-vhosts.conf
添加以下内容
<Directory /data/wwwroot/111.com/upload
>
php_admin_flag engine off
</Directory>
2.使用curl进行测试,在upload目录下存放一个test.php文件
[root@localhost
111.com
]# curl -x127.0.0.1:80
111.com/upload/test.php
<?php
echo "123.php";
可以看到PHP没有进行解析,直接输出源代码
这样设置可能不太友好,我们可以直接将其deny
<Directory /data/wwwroot/
111.com/upload>
php_admin_flag engine off
<FilesMatch (.*)\.php(.*)>
Order allow,deny
deny from all
</FilesMatch>
</Directory>
3. 进行测试,显示
403 Forbidden
[root@localhost
111.com
]# curl -x127.0.0.1:80
111.com/upload/test.php
-I
HTTP/1.1 403 Forbidden
Date: Mon, 05 Mar 2018 21:10:21 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1
二 、限制user_agent
User-Agent(浏览器类型),即不让哪些浏览器来访问我们的网站
实验目标:限制user_agent为curl或者baidu.com的访问
1. 编辑虚拟主机配置文件
vim /usr/local/httpd2.4/conf/extra/httpd-vhosts.conf
在配置文件中添加如下内容:
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} .*curl.* [NC,OR] #NC表示忽略大小写,OR表示或者的意思,上下两个条件或者
RewriteCond %{HTTP_USER_AGENT} .*
baidu.com
.* [NC] #限制user_ragent 为curl或者baidu.com的进行访问
RewriteRule .* - [F] #直接F表示,Forbidden
</IfModule>
2. 使用curl进行测试,-A可以模拟user_agent
[root@localhost ~]# curl -A "
www.qq.com"
; -x127.0.0.1:80 '
http://111.com/123.php'
; -I #模拟user_ragent为www.qq.com正常访问
HTTP/1.1 200 OK
Date: Tue, 06 Mar 2018 13:39:51 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
X-Powered-By: PHP/5.6.30
Content-Type: text/html; charset=UTF-8
[root@localhost ~]# curl -A "
www.baidu.com"
; -x127.0.0.1:80 '
http://111.com/123.php'
; -I #模拟user_ragent为www.baidu.com的显示403 Forbidden
HTTP/1.1 403 Forbidden
Date: Tue, 06 Mar 2018 13:39:58 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1
三、PHP相关配置
1.PHP的配置文件存放地址,可以在phpinfoi面查看相关的信息
可以看到php的配置文件存放在:
/usr/local/php/etc/php.ini
如果在
Loaded Configuration File这一栏显示的是(none),那么说明配置文件没有记载
如果需要启动配置文件,我们可以拷贝模板配置文件,模板配置文件通常在源码包里面放置的有,执行命令:
cp php.ini-development /usr/local/php/etc/php.ini
拷贝配置文件后需要重新加载下Apache再进行刷新就可以了
2. 编辑配置文件
vim /usr/local/php/etc/php.in
2.1 启用disable_functions,可以禁用一些危险的函数,提高服务器的安全
搜索关键字:disable_functions 找到如下行:
在后面添加如下内容
eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_clos
2.2 定义date.timezone ,时区
搜索关键字:date.timezone 找到如下行:
在后面添加如下内容,将时区定义为上海
Asia/Shanghai
2.3 定义错误日志
搜索关键字:display_errors ,找到图片中的段
将其中的On改为Off,
更改之后错误的信息不会输出到浏览器里面,避免目录出现暴露
错误的信息看不到,那么我们还需要配置错误日志,以方便查找错误
搜索关键字:error_log ,找到图片中的行 ,可以自己定义错误日志存放的地址
定义错误日志记录的级别
搜索关键字:error_reportin ,找到图中的标记红色的行,将级别更改为E_ALLL,表示记录所有的警告
open_basedir
将 PHP 所能打开的文件限制在指定的目录树,包括文件本身。本指令不受安全模式打开或者关闭的影响。
当一个脚本试图用例如 fopen() 或者 gzopen() 打开一个文件时,该文件的位置将被检查。当文件在指定的目录树之外时 PHP 将拒绝打开它。所有的符号连接都会被解析,所以不可能通过符号连接来避开此限制。
特殊值 . 指明脚本的工作目录将被作为基准目录。但这有些危险,因为脚本的工作目录可以轻易被 chdir() 而改变。
在 httpd.conf 文件中中,open_basedir 可以像其它任何配置选项一样用“php_admin_value open_basedir none”的方法关闭(例如某些虚拟主机中)。
作为 Apache 模块时,父目录中的 open_basedir 路径自动被继承。
用 open_basedir 指定的限制实际上是前缀,不是目录名。也就是说“open_basedir = /dir/incl”也会允许访问“/dir/include”和“/dir/incls”,如果它们存在的话。如果要将访问限制在仅为指定的目录,用斜线结束路径名。例如:“open_basedir = /dir/incl/”。
针对不同的站点设置open_basedir,将用户可操作的文件限制在某目录下
1. 编辑虚拟主机配置文件
vim /usr/local/httpd2.4/conf/extra/httpd-vhosts.conf
2. 在配置文件里面添加如下内容即可实现
php_admin_value open_basedir "/data/wwwroot/111.com:/tmp/"
扫一扫
3526
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
